以太網數據包

計算機網絡在傳輸數據時，為了保證所有共享網絡資源的計算機都能公平、迅速地使用網絡，通常把數據分割成若干小塊作為傳輸單位進行發送，這樣的傳輸單位我們通常稱之為包，也叫“數據包”。以太網數據包有四種分類，接下來一一介紹。

1.Ethernet II協議簡介：以太網是當今現有局域網採用的最通用的通信協議標準。該標準定義了在局域網中採用的電纜類型和信號處理方法。EthernetII由DEC，Intel和Xerox在1982年公佈其標準，Etherent II協議主要更改了EthernetI的電氣特性和物理接口，在幀格式上並無變化。Etherent II採用CSMA/CD的媒體接入和廣播機制 ^[1]  。

2.Ethernet 802.2協議簡介：Ethernet 802.2協議是IEEE正式的802.3標準，它由Ethernet II發展而來。實質是Ethernet802.2將EthernetII幀頭的協議類型字段替換為幀長度字段，並加入了LLC-802.2頭，用以標記上層協議。LLC頭包含目的服務訪問點（DSAP）、源服務訪問點（SSAP）和控制（Control）字段 ^[1]  。

3.Ethernet 802.3協議簡介：Ethernet802.3是1983年Novell發佈其Netware/86網絡套件時採用的私有以太網幀格式，該格式以當時尚未正式發佈的 IEEE802.3標準為基礎；但是當兩年以後IEEE正式發佈802.3標準時情況發生了變化（IEEE在802.3幀頭中又加入了802.2LLC 頭），這使得Novell的Ethernet 802.3協議與正式的IEEE 802.3標準互不兼容；Ethernet802.3只支持IPX/SPX協議,是目前所用的最普通的一種幀格式，在802.2之前是IPX網絡事實上的標準幀類型 ^[1]  。

4.Ethernet SNAP協議簡介：Ethernet SNAP協議是IEEE為保證在802.2LLC上支持更多的上層協議的同時更好地支持IP協議而發佈的標準，與802.3/802.2 LLC一樣802.3/802.2SNAP也帶有LLC頭，但是擴展了LLC屬性，新添加了一個2字節的協議類型域（同時將SAP的值置為AA），從而使其可以標識更多的上層協議類型；另外添加了一個3字節的廠商代碼字段用於標記不同的組織。RFC 1042定義了IP報文在802.2網絡中的封裝方法和ARP協議在802.2SANP中的實現方法 ^[1]  。

近年來，以太網承載的信息量成倍增長，對傳輸帶寬的需求更加迫切。早期通信運營商對通信基礎設施上進行了很大的投入，大量採用了 SDH 和 PDH 等通信設備，這些設備提供了豐富的 E1 線路資源，但是由於當時技術的限制，很多沒有提供以太網線路接口。如果能利用這些現有電信 E1 通信資源來有效地傳輸以太網業務， 就能節約通信基礎設施建設成本，加快網絡組建進度，增加用户覆蓋範圍。 目前採用的技術有 Ethernet over SDH 和 Ethernet over PDH，直接將以太網數據映射進 SDH 或 PDH 設備內的虛容器中，特點是傳輸開銷少、實現簡單，但設備複雜，實現成本較高，難以普及，不便用於廣大普通用户的接入。還有一種簡單的解決方案是以太網網橋，優點是技術簡單，成本低廉，利用一路 E1 電路提供以太網接入，但是隨着寬帶業務的飛速發展，需要傳輸的以太網的數據量越來越大， 傳統的單路 E1 以太網網橋很難滿足廣大用户的需求。 這裏提出了一種以太網數據包分段傳輸技術來解決這種問題 ^[2]  。

以太網數據包分段傳輸技術系統主要由以太網物理層、E1 線路接口單元以及FPGA三部分實現。 以太網物理層採用的是 100M/10M 自適應物理層芯片，主要功能是把以太網物理層信號轉換為 MAC 層的MII 信號送給 FPGA， 並把 FPGA 產生的以太網MAC信號轉換為物理層信號發送出去。E1 線路接口分為接收端和發送端， 接收端的主要功能是從 E1 線路中恢復時鐘，進行時鐘抖動衰減處理，提取數據，然後對數據進行 HDB3 解碼；發送端的主要功能是對發送數據進行 HDB3 編碼，脈衝成型以及線路驅動。 FPGA 承擔了技術最主要的處理和轉換功能，分成 2 個模塊，第一個模塊是以太網數據包分段模塊，第二個模塊是以太網數據包恢復模塊。

以太網數據包分段模塊的主要功能是把以太網數據包分成數據包段落，併為每個數據包段落添加段落開銷， 組成以太網數據包段落 （Ethernet Package Paragraph，EPP）然後進行 HDLC 封裝，通過 E1 線路接口發送出去。模塊在 FPGA 內部實現，分為 4 個部分，分別是數據包接收存儲單元、數據包分段及開銷插入單元、E1 線路接口檢測單元、HDLC 封裝單元。

以太網數據包恢復模塊的功能是從 E1 數據流中將 HDLC 封裝的 EPP 提取出來，然後根據 EPP 中的段落開銷將 EPP 恢復成以太網數據包，通過以太網物理層發送出去。 模塊在 FPGA 內部實現，分為 4 部分，即HDLC 檢測單元、EPP 調度單元、數據包恢復單元和數據包排隊發送單元 ^[2]  。

總體來説，這項技術具有以下特點：

①靈活： 不需要改變以太網和 E1 線路的現有結構，只需在用户終端加入一個轉換設備。 技術可以根據現有的 E1 線路資源將以太網數據包分段成一定長度、一定數量的 EPP，並且每個 EPP 的長度可以不相同，這樣可以充分利用現有的 E1 通信線路資源。

②可靠：不改變原來的以太網協議和以太網包的內容，只是對以太網數據包進行了分段以及封裝。 接收時可以從接收到任意的 EPP 開始恢復以太網數據包。技術對EPP中的開銷採用了CCITT 標準的CRC16 校驗，並且對恢復出來的完整以太網數據包進行 CRC32 校驗，確保恢復出來以太網數據包的正確性。

③高效：對每個 EPP 添加7個字節的 EPP開銷，選擇適當的分段長度分割以太網數據包，可以使開銷所佔的比例很小 ^[2]  。

目前有兩種方法可以從網絡中捕獲數據包，一種是採用專用硬件，另一種是利用普通計算機與網絡連接的通用硬件——網絡適配器，即網卡，由軟件來完成數據包的捕獲。雖然由軟件來捕獲數據包的方法在性能上比不上專用硬件，但其實現成本相對更低，且易於修改和更新。基於以上原因，採用軟件的捕獲方法得到了廣泛的使用和認同。

從網絡捕獲數據包是所有網絡安全產品實現中非常重要的一環，它是安全產品其它功能的基礎，而實現網絡捕包的一個最重要的條件就是要能夠接收網絡上所有的數據包。要滿足此條件就必須瞭解數據包在網絡上的傳輸方式。計算機網絡從傳輸方式的角度分為兩類：採用點到點連接的網絡和採用廣播方式的網絡。廣域網中一般採用點到點連接方式，而幾乎所有的局域網都以廣播方式作為通信的基礎，網上的站點共享信道，一個站點發出的數據包，其他站點均能收到，也就是説，任一台計算機都可以接收到網絡中同一個共享域的所有的數據通訊 ^[2]  。

在以太網上通訊的每張網卡上都擁有一個全球唯一的物理地址，也叫 MAC 地址。該地址是一個 48 比特的二進制數。在以太網卡中內建有一個數據包過濾器。該數據包過濾器的作用是保留以本身網卡的 MAC 地址為通訊目的的數據包和廣播數據包，丟棄所有其它無關的數據包，以免 CPU 對無關的數據報作無謂的處理。這是以太網卡在一般情況下的工作方式。因此在正常情況下，一個合法的網絡接口應該只響應這樣的兩種數據包(幀)：

①幀的目標地址具有和本地網絡接口相匹配的硬件地址。

②幀的目標地址是“廣播地址”(代表所有的接口地址)，格式為“FF- FF- FF- FF- FF- FF”。

在接收到上面兩種情況的數據幀時，網卡通過 CPU 產生中斷，操作系統進行中斷處理後將幀中包含的數據傳送給上層系統進行進一步處理。在其他情況下數據幀將被丟棄而不作處理。

要想捕獲到流經網卡的不屬於本主機的數據，必須繞過系統正常工作的處理機制，直接訪問網絡底層。我們可以把網卡的狀態設為“混雜”(promis cuous)模式，當網卡工作在這種“混雜”模式時，該網卡就具備了“廣播地址”，它對所接收到的每一個幀都產生一個硬件中斷以提醒操作系統處理流經該網卡上的每一個報文包。操作系統通過直接訪問鏈路層，截獲相關數據，由應用程序而非上層協議(如IP 層、TCP 層)對數據過濾處理，這樣就可以捕獲到流經網卡的所有數據。

數據包常規的傳輸路徑依次為網卡、設備驅動層、數據鏈路層、網絡層、傳輸層、最後到達應用程序。而包捕獲機制是在數據鏈路層增加一個旁路處理，對發送和接收到的數據包做過濾、緩衝等相關處理，最後直接傳遞到應用程序 ^[2]  。